LA JUNTA DIRECTIVA:
Visto el Tratado de la Unión Europea y, en particular, sus artículos 42 y 45,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y en particular su artículo 25,
Vista la Decisión (PESC) 2015/1835 del Consejo, de 12 de octubre de 2015, por la que se determinan el estatuto, la sede y la forma de funcionamiento de la Agencia Europea de Defensa (2) (en lo sucesivo, la «Decisión del Consejo sobre la AED»), y en particular su artículo 31,
Vista la Decisión de la Junta Directiva 2017/25 por la que se adopta el reglamento de procedimiento revisado de la Junta Directiva de la AED, y en particular su artículo 8,
Visto el dictamen del Supervisor Europeo de Protección de Datos, de 15 de enero de 2020, y las directrices del SEPD sobre el artículo 25 del Reglamento (UE) 2018/1725 y las normas internas, y
Previa consulta al Comité de Personal;
Considerando lo siguiente:
(1)
(2) | La AED desempeña sus actividades de conformidad con la Decisión (PESC) 2015/1835.
De conformidad con lo dispuesto en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las limitaciones a la aplicación de los artículos 14 a 22, 35 y 36, y también del artículo 4 de dicho Reglamento, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 22, deben basarse en normas internas adoptadas por la AED cuando no se encuentren fundamentadas en actos jurídicos adoptados con arreglo a los Tratados. |
(3)
(4) | Estas normas internas, incluidas sus disposiciones sobre la evaluación de la necesidad y la proporcionalidad de la limitación, no deben aplicarse cuando un acto jurídico adoptado con arreglo a los Tratados prevea una limitación de los derechos de los interesados.
Cuando la AED ejerza sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento. |
(5) | En el marco de su funcionamiento administrativo, la AED podrá ejecutar medidas de investigación y expedientes disciplinarios administrativos; llevar a cabo actividades preliminares en relación con asuntos de posibles irregularidades comunicadas la Oficina Europea de Lucha contra el Fraude; imponer limitaciones con respecto a los elementos clasificados de actividades específicas en el marco de la Decisión 2015/1835; tramitar denuncias de irregularidades; gestionar procedimientos de acoso; tramitar reclamaciones internas y externas; llevar a cabo investigaciones del delegado de protección de datos de conformidad con el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones internas sobre la seguridad (informática); y desempeñar actividades destinadas a proteger otros objetivos importantes para el interés del público general de la Unión o de un Estado miembro, en particular, los objetivos de la política exterior y de seguridad común de la Unión. |
(6) | La AED trata diversas categorías de datos personales, incluidos los datos sólidos (datos «objetivos», como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos). |
(7) | La AED, representada por su director ejecutivo, actúa como responsable del tratamiento de datos, con independencia de las posteriores delegaciones de esta función dentro de la propia AED al objeto de reflejar las diversas responsabilidades operativas de las distintas tareas de tratamiento de datos personales. |
(8) | Los datos personales se almacenan en un entorno electrónico o en papel de un modo seguro que impide el acceso ilícito a personas que no necesiten conocerlos. Los datos personales tratados no se retienen durante un tiempo superior al necesario y al adecuado para los fines para los que se hubieran tratado durante el período especificado en los avisos de protección de datos o los registros de la AED. |
(9) | Estas normas internas deben aplicarse a las operaciones de tratamiento de datos llevadas a cabo antes del inicio de los procedimientos citados previamente, durante el desarrollo de estos y durante el seguimiento de la actuación consecutiva a los resultados de dichos procedimientos. También se incluyen la asistencia y la cooperación prestadas por la AED a las autoridades nacionales y las organizaciones internacionales al margen de sus investigaciones administrativas. |
(10) | En los casos en los que resultan aplicables estas normas internas, la AED deberá justificar el carácter estrictamente necesario y proporcionado de las limitaciones en una sociedad democrática y respetar el contenido esencial de los derechos y las libertades fundamentales. |
(11) | En este contexto, la AED deberá respetar, en la medida de lo posible, los derechos fundamentales de los interesados durante los procedimientos anteriores, en particular, los relativos al derecho a la comunicación de información, el acceso y la rectificación, el derecho a la supresión, la limitación del tratamiento, el derecho a la comunicación de una violación de la seguridad de los datos personales al interesado o la confidencialidad de las comunicaciones, de conformidad con el Reglamento (UE) 2018/1725. |
(12) | Sin embargo, la AED puede verse obligada a limitar la comunicación de información al interesado y otros derechos del interesado para proteger, en particular, sus propias investigaciones, las investigaciones y los procedimientos de otras autoridades públicas y los derechos de otras personas relacionadas con sus investigaciones o con los procedimientos de cualquier otra índole que se lleven a cabo. |
(13)
(14)
(15) | En consecuencia, la AED puede restringir la información a los efectos de proteger la investigación y los derechos y libertades fundamentales de otros interesados.
La AED debe controlar de manera periódica que se cumplan las condiciones que justifiquen la limitación y levantar la restricción en cuanto dejen de resultar aplicables.
El responsable del tratamiento debe informar al responsable de protección de datos en el momento del aplazamiento y durante las revisiones. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Objeto y ámbito de aplicación
1. La presente decisión establece las normas relativas a las condiciones en las que la AED, en el marco de sus procedimientos establecidos en el apartado 2, puede limitar la aplicación de los derechos previstos en los artículos 14 a 21, 35 y 36, y también del artículo 4, de conformidad con el artículo 25 del Reglamento (UE) 2018/1725.
2. En el marco del funcionamiento administrativo de la AED, esta decisión se aplica a las operaciones de tratamiento de datos personales llevadas a cabo por esta a los efectos de llevar a cabo indagaciones administrativas, procedimientos disciplinarios y actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF; tramitar denuncias de irregularidades y procedimientos de acoso; tramitar reclamaciones internas y externas, así como investigaciones llevadas a cabo por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones en materia de seguridad (informática) desarrolladas internamente o con la participación de agentes externos.
3. Las categorías de los datos tratados son los datos sólidos (datos «objetivos», como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos procedentes de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos).
4. Cuando la AED ejerza sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.
5. Con arreglo a las condiciones previstas en la presente decisión, las limitaciones pueden aplicarse a los siguientes derechos: la comunicación de información a los interesados, el derecho de acceso, de rectificación y de supresión, la limitación del tratamiento, la comunicación de una violación de la seguridad de los datos personales al interesado y la confidencialidad de las comunicaciones.
Artículo 2
Medidas de garantía
1. Las garantías aplicadas a fin de prevenir abusos y accesos o transferencias ilícitas serán las siguientes:
a) | los documentos en papel deberán conservarse en armarios protegidos a los que únicamente pueda acceder el personal autorizado; |
b) | todos los datos en formato electrónico deberán almacenarse en una aplicación informática segura que respete las normas de seguridad de la AED y en carpetas electrónicas específicas a las que únicamente pueda acceder el personal autorizado. Deberán concederse de manera individualizada los niveles de acceso adecuados; |
c) | las bases de datos (3) estarán protegidas por contraseñas en virtud de un sistema de autenticación único y conectadas automáticamente al identificador y la contraseña del usuario. Los registros electrónicos se conservarán de manera segura para garantizar la confidencialidad y la privacidad de los datos que contengan; |
d) | todas las personas que dispongan de acceso a los datos quedarán sujetas a una obligación de confidencialidad. |
2. El período de retención de los datos personales al que hace referencia el artículo 1, apartado 3, no superará el necesario ni el adecuado para los fines que justifiquen el tratamiento de los datos. En ningún caso deberá superar el período de retención especificado en los avisos sobre la protección de datos o los registros a los que se hace referencia en el artículo 5, apartado 1.
3. Cuando la AED estudie aplicar una limitación, deberá sopesarse el riesgo para los derechos y las libertades del interesado, en particular, el riesgo para los derechos y las libertades de otros interesados y el riesgo de dejar sin efecto las investigaciones o los procedimientos emprendidos por la AED, por ejemplo, por la destrucción de pruebas. Los riesgos para los derechos y las libertades del interesado consisten principalmente, aunque no de manera exclusiva, en riesgos para la reputación y riesgos para el derecho a la defensa y a ser oído.
Artículo 3
Descripción del responsable del tratamiento
1. El responsable de las operaciones de tratamiento será la AED, representada por su director ejecutivo, quien podrá delegar la función de responsable del tratamiento de datos.
2. Se informará a los interesados sobre la identidad del responsable del tratamiento que se haya delegado por medio de los registros de protección de datos publicados en el sitio web de la AED.
Artículo 4
Limitaciones
1. La AED incluirá en los registros de protección de datos que informen al interesado de sus derechos en el marco de un procedimiento concreto a tenor del artículo 31 del Reglamento (UE) 2018/1725 y que se publiquen en su sitio web la información relacionada con la posible restricción de estos derechos. Esta información abarcará los derechos que pueden limitarse, los motivos de la limitación y la posible duración de esta.
2. La AED solo adoptará limitaciones para garantizar:
a) | la seguridad nacional, el orden público y/o la defensa de los Estados miembros; |
b) | la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención; |
c) | otros objetivos importantes para el interés del público general de la Unión o de un Estado miembro, en particular, los objetivos de la política exterior y de seguridad común de la Unión o cualquier interés económico o financiero importante de la Unión; |
d) | la seguridad interna de las instituciones y organismos de la Unión, incluida la de sus redes de comunicación electrónica; |
e) | la protección de la independencia judicial y de los procedimientos judiciales; |
f) | una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, al ejercicio de la autoridad pública en los casos enunciados en las letras a) a c); |
g) | la protección de los derechos del interesado o de los derechos y libertades de otros; |
h) | la ejecución de acciones civiles. |
3. Como aplicación concreta de los fines descritos en el apartado 1 anterior, la AED puede introducir limitaciones en relación con los datos personales intercambiados con los servicios de la Comisión u otras instituciones, organismos, agencias y oficinas de la Unión, autoridades competentes de los Estados miembros o de terceros países u organizaciones internacionales, en las siguientes circunstancias:
a) | cuando el ejercicio de tales derechos y el cumplimiento de tales obligaciones pueda ser limitado por los servicios de la Comisión o por otras instituciones, órganos, organismos y oficinas de la Unión, sobre la base de los demás actos contemplados en el artículo 25 del Reglamento (UE) 2018/1725, o de conformidad con el capítulo IX de dicho Reglamento o con las actas fundacionales de otras instituciones, órganos, organismos y oficinas de la Unión; |
b) | cuando el ejercicio de tales derechos y el cumplimiento de tales obligaciones pueda verse limitado por las autoridades competentes de los Estados miembros sobre la base de los actos a los que se refiere el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (4), o con arreglo a las medidas nacionales de transposición del artículo 13, apartado 3; del artículo 15, apartado 3; o del artículo 16, apartado 3, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (5); |
c) | cuando el ejercicio de tales derechos y el cumplimiento de tales obligaciones pueda comprometer la cooperación de la AED con terceros países u organizaciones internacionales en el desempeño de sus funciones. |
Antes de aplicar las limitaciones en las circunstancias mencionadas en las letras a) y b) anteriores, la AED consultará a los servicios pertinentes de la Comisión, a las instituciones, los organismos, las oficinas y las agencias pertinentes de la Unión o a las autoridades competentes de los Estados miembros, a menos que para la AED resulte evidente que la aplicación de la limitación está prevista en uno de los actos a los que se hace referencia en dichas letras.
4. Toda limitación deberá ser necesaria y proporcionada teniendo en cuenta los riesgos para los derechos y las libertades de los interesados y el respeto, en lo esencial, de los derechos y libertades fundamentales en una sociedad democrática.
5. Si se estudia aplicar una limitación, deberá llevarse a cabo una prueba de la necesidad y la proporcionalidad basada en las presentes normas. Esta se documentará con una nota interna de evaluación para cumplir con la obligación de rendir cuentas en cada caso.
6. La AED revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la indagación, investigación o procedimiento pertinentes. Posteriormente, el responsable del tratamiento deberá supervisar cada seis meses la necesidad de mantener cualquier limitación. La consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Asimismo, se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.
7. Las limitaciones se levantarán tan pronto como dejen de cumplirse las circunstancias que las hubieran justificado. En particular, se levantarán cuando se considere que el ejercicio del derecho limitado ya no anula el efecto de la limitación impuesta ni afecta negativamente a los derechos o las libertades de los demás interesados.
8. Sin perjuicio de lo dispuesto en el apartado 10, cuando resulte proporcionado, la AED también notificará de manera individualizada a todos los titulares de datos que se consideren interesados en la operación de tratamiento concreta cuáles son sus derechos con respecto a las limitaciones presentes o futuras, sin dilaciones indebidas y por escrito.
9. Cuando la AED limite, total o parcialmente, la comunicación de información a los interesados a los que se refiere el apartado 9, hará constar los motivos de la limitación y el fundamento jurídico con arreglo al presente artículo, y deberá incluir una evaluación de la necesidad y la proporcionalidad de la limitación. Se deberá registrar la consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes. Asimismo, se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.
10. La limitación a la que se refiere el apartado 10 permanecerá en vigor mientras los motivos que la justifiquen sigan siendo aplicables.
11. Cuando los motivos que justifiquen la limitación dejen de ser aplicables, la AED informará al interesado de los principales motivos en que se hubiera fundamentado la aplicación de la limitación. Al mismo tiempo, la AED informará al interesado del derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos en cualquier momento o a interponer un recurso judicial ante el Tribunal de Justicia de la Unión Europea.
Artículo 5
Revisión por parte del responsable de protección de datos
1. La AED informará a su responsable de protección de datos (en lo sucesivo, el «RPD»), sin dilaciones indebidas, de toda situación en que el responsable del tratamiento limite la aplicación de los derechos de los interesados o prorrogue la limitación de conformidad con la presente decisión. El responsable del tratamiento proporcionará al RPD acceso al registro que contenga la evaluación de la necesidad y la proporcionalidad de la limitación y documentará en dicho registro la fecha de la notificación al RPD.
2. El RPD podrá solicitar por escrito al responsable del tratamiento que revise la aplicación de las limitaciones. Este notificará por escrito al RPD el resultado de la revisión solicitada.
3. El responsable del tratamiento notificará al RPD el levantamiento de las limitaciones.
4. Cualquier información comunicada al RPD a lo largo de todo el procedimiento deberá documentarse debidamente.
Artículo 6
Comunicación de información al interesado
En los casos debidamente justificados y en las condiciones dispuestas en la presente decisión, el responsable del tratamiento podrá limitar el derecho a la información en el contexto de las siguientes operaciones de tratamiento:
a) | la realización de investigaciones administrativas y procedimientos disciplinarios; |
b) | las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF; |
c) | los procedimientos de denuncia de irregularidades; |
d) | los procedimientos seguidos en casos de acoso; |
e) | las tramitaciones de reclamaciones internas y externas; |
f) | las investigaciones llevadas a cabo por el RPD de conformidad con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725; |
g) | las investigaciones sobre la seguridad (informática) gestionadas internamente o con la participación de agentes externos; |
h) | las actividades llevadas a cabo para proteger otros objetivos importantes para el interés del público general de la Unión o de un Estado miembro, en particular, los objetivos de la política exterior y de seguridad común de la Unión de conformidad con lo dispuesto en la Decisión (PESC) 2015/1835. |
Artículo 7
Derecho de acceso del interesado
1. En los casos debidamente justificados y en las condiciones estipuladas en la presente decisión, el responsable del tratamiento podrá limitar el derecho de acceso, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:
a) | la realización de investigaciones administrativas y procedimientos disciplinarios; |
b) | las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF; |
c) | los procedimientos de denuncia de irregularidades; |
d) | los procedimientos seguidos en casos de acoso; |
e) | las tramitaciones de reclamaciones internas y externas; |
f) | las investigaciones llevadas a cabo por el Responsable de Protección de Datos de conformidad con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725; |
g) | las investigaciones sobre la seguridad (informática) gestionadas internamente o con la participación de agentes externos; |
h) | las actividades llevadas a cabo para proteger otros objetivos importantes para el interés del público general de la Unión o de un Estado miembro, en particular, los objetivos de la política exterior y de seguridad común de la Unión de conformidad con lo dispuesto en la Decisión (PESC) 2015/1835. |
2. Cuando los interesados soliciten el acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o a una determinada operación de tratamiento, de conformidad con el artículo 17 del Reglamento (UE) 2018/1725, la AED deberá limitar su evaluación de la solicitud a dichos datos personales únicamente.
3. Cuando la AED limite, en parte o en su totalidad, el derecho de acceso al que se refiere el artículo 17 del Reglamento (UE) 2018/1725, deberá adoptar las siguientes medidas:
a) | informará al interesado, en su respuesta a la solicitud, de la limitación aplicada y de los principales motivos de esta, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea; |
b) | documentará en una nota interna de evaluación los motivos de la limitación, en la que deberá incluir una evaluación de la necesidad, la proporcionalidad y la duración de la limitación. |
La comunicación de la información mencionada en la letra a) podrá aplazarse, omitirse o denegarse en caso de que pudiera dejar sin efecto la limitación, con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento (UE) 2018/1725.
Artículo 8
Derecho de rectificación, supresión y limitación del tratamiento de datos
1. En los casos debidamente justificados y en las condiciones estipuladas en la presente decisión, el responsable del tratamiento podrá limitar el derecho de rectificación, supresión y limitación, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:
a) | la realización de investigaciones administrativas y procedimientos disciplinarios; |
b) | las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF; |
c) | los procedimientos de denuncia de irregularidades; |
d) | los procedimientos seguidos en casos de acoso; |
e) | las tramitaciones de reclamaciones internas y externas; |
f) | las investigaciones llevadas a cabo por el Responsable de Protección de Datos de conformidad con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725; |
g) | las investigaciones sobre la seguridad (informática) gestionadas internamente o con la participación de agentes externos; |
h) | las actividades llevadas a cabo para proteger otros objetivos importantes para el interés del público general de la Unión o de un Estado miembro, en particular, los objetivos de la política exterior y de seguridad común de la Unión de conformidad con lo dispuesto en la Decisión (PESC) 2015/1835. |
2. Cuando la AED limite, total o parcialmente, la aplicación del derecho a la rectificación, supresión o limitación del tratamiento al que se refieren el artículo 18; el artículo 19, apartado 1, y el artículo 20, apartado 1, del Reglamento (UE) 2018/1725, adoptará las medidas contempladas en el artículo 6, apartado 2, de la presente decisión y las hará constar de conformidad con lo dispuesto en su artículo 6, apartado 3.
Artículo 9
Comunicación de una violación de la seguridad de los datos personales al interesado y confidencialidad de las comunicaciones electrónicas
1. En casos debidamente justificados y en las condiciones estipuladas en la presente decisión, el responsable del tratamiento podrá limitar el derecho a la comunicación de una violación de la seguridad de los datos personales, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:
a) | la realización de investigaciones administrativas y procedimientos disciplinarios; |
b) | las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF; |
c) | los procedimientos de denuncia de irregularidades; |
d) | los procedimientos seguidos en casos de acoso; |
e) | las tramitaciones de reclamaciones internas y externas; |
f) | las investigaciones llevadas a cabo por el Responsable de Protección de Datos de conformidad con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725; |
g) | las investigaciones sobre la seguridad (informática) gestionadas internamente o con la participación de agentes externos; |
h) | las actividades llevadas a cabo para proteger otros objetivos importantes para el interés del público general de la Unión o de un Estado miembro, en particular, los objetivos de la política exterior y de seguridad común de la Unión de conformidad con lo dispuesto en la Decisión (PESC) 2015/1835. |
2. En los casos debidamente justificados y en las condiciones estipuladas en la presente decisión, el responsable del tratamiento podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:
a) | la realización de investigaciones administrativas y procedimientos disciplinarios; |
b) | las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF; |
c) | los procedimientos de denuncia de irregularidades; |
d) | los procedimientos seguidos en casos de acoso; |
e) | las tramitaciones de reclamaciones internas y externas; |
f) | las investigaciones sobre la seguridad (informática) gestionadas internamente o con la participación de agentes externos; |
g) | las actividades llevadas a cabo para proteger otros objetivos importantes para el interés del público general de la Unión o de un Estado miembro, en particular, los objetivos de la política exterior y de seguridad común de la Unión de conformidad con lo dispuesto en la Decisión (PESC) 2015/1835. |
3. Cuando la AED limite la comunicación de una violación de la seguridad de los datos personales al interesado o de la confidencialidad de las comunicaciones electrónicas a la que se refieren los artículos 35 y 36 del Reglamento (UE) 2018/1725, deberá anotar y registrar los motivos de la limitación de conformidad con lo dispuesto en el artículo 5, apartado 3, de la presente decisión. Será de aplicación el artículo 5, apartado 4, de la presente decisión.
Artículo 10
Entrada en vigor
La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Bruselas, el 24 de febrero de 2020.
(1) DO L 295 de 21.11.2018, p. 39.
(2) DO L 266 de 13.10.2015, p. 55.
(3) En la presente decisión, se entenderá por «base de datos» cualquier conjunto estructurado de datos almacenados en un soporte electrónico, incluidas las herramientas o aplicaciones informáticas y SharePoint.
(4) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(5) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).